• Obnova OS po viru ransomware. Skripty pro obnovení systému Windows XP po napadení virem

    Jako

    Jako

    tweet

    Existují univerzální Švýcarský nůž programy. Hrdina mého článku je právě takový „univerzál“. Jmenuje se AVZ(Antivirus Zaitsev). S pomocí tohoto volný, uvolnit Můžete zachytit antiviry a viry a optimalizovat systém a opravit problémy.

    Vlastnosti AVZ

    Již jsem mluvil o tom, že se jedná o antivirový program. Práce AVZ jako jednorázového antiviru (přesněji anti-rootkitu) je v jeho nápovědě dobře popsána, ale já vám ukážu druhou stránku programu: kontrolu a obnovu nastavení.

    Co lze pomocí AVZ „opravit“:

    • Opravte spouštěcí programy (.exe, .com, . pif soubory)
    • Resetovat nastavení internet Explorer na standard
    • Obnovit nastavení plochy
    • Odstraňte omezení práv (například pokud virus zablokoval spouštění programů)
    • Odstraňte banner nebo okno, které se zobrazí před přihlášením
    • Odstraňte viry, které lze spustit s jakýmkoli programem
    • Odblokujte Správce úloh a Editor registru (pokud jim virus zabránil ve spuštění)
    • Vymazat soubor
    • Zakažte programy automatického spouštění z jednotek flash a disků
    • Odstraňte nepotřebné soubory z pevný disk
    • Opravte problémy s počítačem
    • A mnohem víc

    Může být také použit pro kontrolu bezpečnosti nastavení windows(za účelem lepší ochrany před viry), stejně jako optimalizace systému čištěním spouštění.

    Stránka ke stažení AVZ je na adrese .

    Program je zdarma.

    Nejprve chraňme naše Windows před neopatrnými akcemi

    Program AVZ má Velmi mnoho funkcí ovlivňujících provoz Windows. Tento nebezpečný, protože v případě chyby může dojít k potížím. Než cokoliv uděláte, přečtěte si prosím pozorně text a pomozte. Autor článku nenese odpovědnost za vaše jednání.

    Abych mohl po neopatrné práci s AVZ „vrátit vše tak, jak to bylo“, napsal jsem tuto kapitolu.

    Toto je povinný krok, ve skutečnosti vytvoření „ústupové cesty“ v případě neopatrných akcí - díky bodu obnovení bude možné obnovit nastavení, registru Windows do dřívějšího stavu.

    Windows Recovery je povinná součást všech verzí Windows, počínaje Windows ME. Škoda, že si na to většinou nepamatují a ztrácejí čas přeinstalováním Windows a programů, i když šlo jen párkrát kliknout myší a vyhnout se všem problémům.

    Pokud je poškození vážné (například část systémové soubory), pak "Obnovení systému" nepomůže. V ostatních případech - pokud jste špatně nakonfigurovali Windows, "udělali" s registrem, nainstalovali program, ze kterého se Windows nespouštějí, nesprávně použili program AVZ - "Obnovení systému" by mělo pomoci.

    Po práci AVZ vytvoří podsložky se zálohami ve své složce:

    /záloha- jsou uloženy zálohy Registrovat.

    /Infikovaný- kopie odstraněných virů.

    /karanténa- kopie podezřelé soubory.

    Pokud problémy začaly po spuštění AVZ (například jste bezmyšlenkovitě použili nástroj AVZ System Restore a internet přestal fungovat) a Recovery Systémy Windows nevrátil zpět provedené změny, můžete otevřít zálohy registru ze složky záloha.

    Jak vytvořit bod obnovení

    Pojďme Start - Ovládací panely - Systém - Ochrana systému:

    V okně "Systém" klikněte na "Ochrana systému".

    Klikněte na tlačítko "Vytvořit".

    Proces vytvoření bodu obnovení může trvat až deset minut. Poté se objeví okno:

    Bod obnovení bude vytvořen. Mimochodem, jsou automaticky vytvořeny při instalaci programů a ovladačů, ale ne vždy. Před nebezpečnými akcemi (nastavení, čištění systému) je proto lepší znovu vytvořit bod obnovení, abyste se v případě potíží pochválili za prozíravost.

    Jak obnovit počítač pomocí bodu obnovení

    Obnovení systému lze spustit dvěma způsoby - zdola se systémem Windows a pomocí instalačního disku.

    Možnost 1 – pokud se spustí Windows

    Pojďme Start - Všechny programy - Příslušenství - Systémové nástroje - Obnovení systému:

    začne Vyberte jiný bod obnovení a stiskněte Dále. Otevře se seznam bodů obnovení. Vyberte si ten, který potřebujete:

    Počítač se automaticky restartuje. Po načtení všech nastavení, jeho registru a části důležité soubory bude obnovena.

    Možnost 2 – Pokud se Windows nespustí

    Potřebujete "instalační" disk s Windows 7 nebo Windows 8. Kde ho získat (nebo stáhnout), napsal jsem.

    Nabootujeme z disku (jak bootovat ze zaváděcích disket, je napsáno) a vybereme:

    Místo instalace systému Windows zvolte "Obnovení systému".

    Oprava systému po virech nebo nešikovných akcích s počítačem

    Před všemi akcemi se zbavte virů, například pomocí. Jinak to nebude mít smysl – opravené nastavení zase „rozbije“ běžící virus.

    Restartování programů

    Pokud virus zablokoval spouštění jakýchkoli programů, pomůže vám AVZ. Samozřejmě musíte také spustit samotný AVZ, ale je to docela snadné:

    Nejprve jdeme do Kontrolní panel- nastavit jakýkoli typ zobrazení, kromě kategorie - Nastavení složek - Pohled- zrušte zaškrtnutí Skrýt přípony pro registrované typy souborů - OK. Nyní má každý soubor rozšíření- několik znaků za poslední tečkou v názvu. Obvykle programy .exe A .com. Chcete-li spustit antivirus AVZ na počítači, kde jsou zakázány programy, přejmenujte příponu na cmd nebo pif:

    Poté se spustí AVZ. Poté v samotném okně programu stiskněte Soubor - :

    Body, které je třeba poznamenat:

    1. Obnovte soubory launch options.exe, .com, .pif(ve skutečnosti řeší problém spouštění programů)

    6. Odstraňte všechny zásady (omezení) aktuálního uživatele(v některých vzácných případech tato položka také pomáhá vyřešit problém spouštění programů, pokud je virus velmi škodlivý)

    9. Odstranění debuggerů systémových procesů(tuto položku je velmi žádoucí poznamenat, protože i když jste systém zkontrolovali antivirem, mohlo by z viru něco zůstat. Pomáhá také, když se při startu systému neobjeví Plocha)

    , potvrďte akci, objeví se okno s textem „Obnovení systému dokončeno“. Poté zbývá restartovat počítač - problém se spouštěním programů bude vyřešen!

    Obnova po spuštění plochy

    Dost společný problém- Plocha se při spuštění systému nezobrazuje.

    Běh plocha počítače můžete to udělat: stiskněte Ctrl + Alt + Del, spusťte Správce úloh, tam stiskneme Soubor - Nová úloha(Běh...) - vstoupit explorer.exe:

    OK- Plocha se spustí. Jde ale pouze o dočasné řešení problému – při příštím zapnutí počítače budete muset vše zopakovat.

    Abyste to nedělali pokaždé, musíte obnovit spouštěcí klíč programu badatel(„Dirigent“, který je zodpovědný za standardní pohled obsah složky a ovládání plochy). V AVZ lisujeme Soubor- a označte položku

    Proveďte označené operace, potvrďte akci, stiskněte OK. Nyní, když spustíte počítač, plocha se spustí normálně.

    Odemkněte Správce úloh a Editor registru

    Pokud virus zablokoval spuštění dvou výše uvedených programů, lze zákaz odstranit prostřednictvím okna programu AVZ. Stačí zkontrolovat dvě věci:

    11. Odemkněte Správce úloh

    17. Odemkněte Editor registru

    A stiskněte Proveďte označené operace.

    Problémy s internetem (Vkontakte, Odnoklassniki a antivirové stránky se neotevírají)

    Vyčištění systému od nepotřebných souborů

    Programy AVZ ví, jak vyčistit počítač od nevyžádané soubory. Pokud v počítači není nainstalován program pro čištění pevného disku, udělá to AVZ, protože existuje mnoho možností:

    Více o bodech:

    1. Vymazat mezipaměť systému Prefetch- vyčištění složky s informacemi o tom, které soubory se mají načíst předem pro rychlé spouštění programů. Možnost je zbytečná, protože Windows sám o sobě celkem úspěšně monitoruje Přednačíst složku a v případě potřeby jej vyčistěte.
    2. Odstraňte soubory protokolu Windows- můžete vyčistit různé databáze a soubory, které se ukládají různé záznamy o událostech vyskytujících se v operačním systému. Tato možnost je užitečná, pokud potřebujete uvolnit tucet nebo dva megabajty místa na pevném disku. To znamená, že užitek z používání je mizivý, možnost je zbytečná.
    3. Odstraňte soubory výpisu paměti- v případě kritického stavu Chyby systému Windows přeruší svou práci a zobrazí BSOD ( modrá obrazovka smrt), zároveň ukládá informace o spuštěných programech a ovladačích do souboru pro pozdější analýzu speciální programy k identifikaci viníka selhání. Tato možnost je téměř zbytečná, protože umožňuje vyhrát pouze tucet megabajtů volný prostor. Vymazání souborů výpisu paměti nepoškodí systém.
    4. Vymazat seznam posledních dokumentů- kupodivu tato volba vymaže seznam Poslední dokumenty. Tento seznam je v nabídce Start. Seznam můžete také vymazat ručně kliknutím pravým tlačítkem na tuto položku v nabídce Start a výběrem možnosti „Vymazat seznam posledních položek“. Tato možnost je užitečná: Všiml jsem si, že vymazání seznamu nedávné dokumenty umožňuje nabídce Start zobrazovat nabídky o něco rychleji. Systém nebude poškozen.
    5. Vymazání složky TEMP- Svatý grál pro ty, kteří hledají příčinu mizení volného místa na disku C:. Faktem je, že ve složce TEMP mnoho programů ukládá soubory pro dočasné použití a zapomíná je později „uklidit“. Typickým příkladem jsou archivátory. Rozbalte tam soubory a zapomeňte je smazat. Vymazání složky TEMP systému nepoškodí, může uvolnit spoustu místa (ve zvláště zanedbaných případech zisk volného místa dosahuje padesáti gigabajtů!).
    6. Adobe Flash Player- čištění dočasných souborů- "flash player" může ukládat soubory pro dočasné použití. Mohou být odstraněny. Někdy (zřídka) tato možnost pomáhá v boji proti závadám Flash Player. Například s problémy s přehráváním videa a zvuku na webu Vkontakte. Použití není na škodu.
    7. Vymazání mezipaměti terminálového klienta- pokud vím, tato možnost vymaže dočasné soubory součásti Windows s názvem "Připojení ke vzdálené ploše" ( vzdálený přístup do počítačů přes RDP). Volba Zdá se, že neškodí, uvolňuje deset megabajtů místa nejlepší případ. Nemá smysl to používat.
    8. IIS – Odstranit protokol chyb HTTP- dlouho vysvětlit, co to je. Dovolte mi jen říci, že je lepší nepovolit možnost vymazat protokol IIS. V každém případě to neškodí, ani neprospívá.
    9. Macromedia Flash Player- duplikáty položek « Adobe Flash Player - čištění dočasných souborů", ale ovlivňuje spíše staré verze přehrávače Flash Player.
    10. Java - vymazání mezipaměti- poskytuje zisk o několik megabajtů na pevném disku. Nepoužívám Java programy, takže jsem nekontroloval důsledky povolení volby. Nedoporučuji to zapínat.
    11. Vysypání koše- účel této položky je zcela jasný z jejího názvu.
    12. Odstraňte protokoly instalace aktualizace systému- Windows vede protokol nainstalované aktualizace. Povolení této možnosti vymaže protokol. Možnost je zbytečná, protože není volné místo na výhru.
    13. Smazat protokol aktualizace systému Windows - podobně jako v předchozím odstavci, ale ostatní soubory jsou smazány. Také démon užitečná možnost.
    14. Vymažte databázi MountPoints- pokud se ikony s nimi nevytvoří v okně Počítač při připojení flash disku nebo pevného disku, může tato možnost pomoci. Doporučuji vám jej zapnout pouze v případě, že máte problémy s připojením flash disků a disků.
    15. Internet Explorer - vymazat mezipaměť- vymaže dočasné soubory aplikace Internet Explorer. Tato možnost je bezpečná a užitečná.
    16. Microsoft Office - vymazat mezipaměť- vymaže dočasné soubory programy společnosti Microsoft Office – Word, Excel, PowerPoint a další. Nemohu zkontrolovat možnosti zabezpečení, protože nemám Microsoft Office.
    17. Vymazání mezipaměti systému vypalování CD- užitečná možnost, která vám umožní odstranit soubory, které jste připravili pro vypálení na disky.
    18. čištění systémové složky TEPL- na rozdíl od uživatelské složky TEMP (viz bod 5) není vymazání této složky vždy bezpečné a obvykle uvolní trochu místa. Nedoporučuji to zapínat.
    19. MSI - čištění složky Config.Msi- v této složce jsou uloženy různé soubory vytvořené instalátory softwaru. Složka je velká, pokud instalační programy nedokončily svou práci správně, takže vymazání složky Config.Msi je oprávněné. Buďte však varováni - mohou nastat problémy s odinstalováním programů, které používají instalační programy MSI (například Microsoft Office).
    20. Vymazat protokoly plánovače úloh- Plánovač Úkoly systému Windows vede log, kde zaznamenává informace o splněných úkolech. Nedoporučuji tuto položku zařazovat, protože to nemá žádný přínos, ale přidá problémy - Plánovač Úkoly systému Windows pěkně zabugovaná součástka.
    21. Odstraňte instalační protokoly systému Windows- zisk místa je bezvýznamný, nemá smysl mazat.
    22. Windows - vymazat mezipaměť ikon- užitečné, pokud máte problémy se zkratkami. Když se například objeví plocha, ikony se nezobrazí okamžitě. Povolení této možnosti neovlivní stabilitu systému.
    23. Google Chrome- vyčistit mezipaměť je velmi užitečná možnost. Google Chrome ukládá kopie stránek do složky určené k tomuto účelu, aby se stránky otevíraly rychleji (stránky se načítají z pevného disku namísto stahování přes internet). Někdy velikost této složky dosahuje půl gigabajtu. Čištění je užitečné z hlediska uvolnění místa na pevném disku, Windows ani Google Chrome neovlivňují stabilitu.
    24. Mozilla Firefox- vyčištění složky CrashReports- pokaždé s Prohlížeč Firefox dojde k problému a dojde k chybě, vytvoří se soubory sestav. Tato možnost odstraní soubory sestav. Zisk volného místa dosahuje několika desítek megabajtů, to znamená, že tato možnost má malý smysl, ale existuje. Stabilita Windows a Mozilla Firefox není ovlivněna.

    Záleží na nainstalované programy, počet bodů se bude lišit. Například pokud je nainstalován Prohlížeč Opera, můžete také vymazat jeho mezipaměť.

    Čištění seznamu spouštěných programů

    Jistým způsobem, jak urychlit spouštění a rychlost počítače, je vyčistit seznam automatického spouštění. Li zbytečné programy se nespustí, pak se počítač nejen rychleji zapne, ale také bude rychleji pracovat - díky uvolněným zdrojům, které nebudou odebírat programy běžící na pozadí.

    AVZ je schopen zobrazit téměř všechny mezery ve Windows, přes které jsou programy spouštěny. Seznam automatického spouštění můžete zobrazit v nabídce Nástroje - Správce automatického spouštění:

    Běžný uživatel nemá pro tak výkonnou funkcionalitu absolutně žádné využití, proto naléhám nevypínejte všechno. Stačí se podívat pouze na dva body - Složky automatického spouštění A běh*.

    AVZ zobrazuje autostart nejen pro vašeho uživatele, ale také pro všechny ostatní profily:

    V kapitole běh* je lepší nezakázat programy umístěné v sekci HKEY_USERS- to může narušit provoz ostatních uživatelských profilů a operační systém. V kapitole Složky automatického spouštění můžete vypnout vše, co nepotřebujete.

    Řádky označené zeleně rozpozná antivirus jako známé. To zahrnuje obojí systémové programy Windows a cizí programy s digitálním podpisem.

    Všechny ostatní programy jsou označeny černě. To neznamená, že takové programy jsou viry nebo něco podobného, ​​jen že ne všechny programy jsou digitálně podepsané.

    Nezapomeňte roztáhnout první sloupec širší, abyste viděli název programu. Obvyklé odškrtnutí dočasně znemožní automatické spouštění programu (můžete pak znovu zaškrtnout), výběrem položky a stisknutím tlačítka s černým křížkem se záznam navždy smaže (nebo dokud se program znovu nezapíše do automatického spouštění).

    Vyvstává otázka: jak určit, co lze zakázat a co ne? Existují dvě řešení:

    Za prvé, existuje zdravý rozum: podle názvu souboru .exe programu se můžete rozhodnout. Například, program Skype při instalaci vytvoří záznam pro automatické spuštění když zapnete počítač. Pokud jej nepotřebujete, zrušte zaškrtnutí políčka končícího na skype.exe. Mimochodem, mnoho programů (včetně Skype) se může samo odstranit ze spuštění, stačí zrušit zaškrtnutí příslušné položky v nastavení samotného programu.

    Za druhé, můžete vyhledávat informace o programu na internetu. Na základě obdržených informací zbývá rozhodnout, zda je odebrat z automatického spouštění nebo ne. AVZ usnadňuje hledání informací o bodech: stačí kliknout pravým tlačítkem na položku a vybrat svůj oblíbený vyhledávač:

    Vypnutím nepotřebných programů znatelně zrychlíte start svého počítače. Je však nežádoucí zakázat vše v řadě - to je plné skutečnosti, že ztratíte indikátor rozložení, deaktivujete antivirus atd.

    Zakažte pouze ty programy, které jistě znáte – v autorun je nepotřebujete.

    Výsledek

    V zásadě je to, o čem jsem psal v článku, obdoba zatloukání hřebíků mikroskopem - program AVZ je vhodný pro Optimalizace Windows, ale obecně je komplexní a Výkonný nástroj vhodné pro výkony nejvíce různé úkoly. Abyste však mohli AVZ využívat naplno, musíte mít důkladné znalosti Windows, takže můžete začít v malém – totiž tím, co jsem popsal výše.

    Pokud máte nějaké dotazy nebo připomínky - pod články je blok komentářů, kam mi můžete napsat. Sleduji komentáře a pokusím se vám odpovědět co nejdříve.

    Související příspěvky:

    Jako

    Jako

    Už uplynul týden, co se Péťa sušil na Ukrajinu. Obecně tímto šifrovacím virem trpělo více než padesát zemí po celém světě, ale 75 % masového kybernetického útoku zasáhlo Ukrajinu. Postiženy byly vládní a finanční instituce v celé zemi, které mezi prvními oznámily, že jejich systémy byly kompromitovány. hackerský útok se stalo Ukrenergo a Kievenergo. Virus Petya.A použil účetní program M.E.Doc k jeho proniknutí a zablokování. Tento software je velmi populární mezi různými institucemi na Ukrajině, což se stalo osudným. Výsledkem bylo, že některým společnostem trvalo obnovení systému po viru Petya dlouho. Některým se podařilo obnovit práci až včera, 6 dní po viru ransomware.

    Cíl viru Petya

    Účelem většiny ransomwarových virů je vydírání. Zašifrují informace na počítači oběti a požadují od oběti peníze, aby získali klíč, který obnoví přístup k zašifrovaným datům. Podvodníci ale ne vždy dodrží slovo. Některý ransomware prostě není určen k dešifrování a virus Petya je jedním z nich.

    Tuto smutnou zprávu oznámili specialisté z Kaspersky Lab. Aby bylo možné obnovit data po viru ransomware, je vyžadován jedinečný identifikátor instalace viru. Ale v situaci s novým virem vůbec negeneruje identifikátor, to znamená, že tvůrci malwaru ani neuvažovali o možnosti obnovení PC po viru Petya.

    Zároveň však oběti obdržely zprávu, ve které byla zavolána adresa, kam převést 300 $ v bitcoinech za účelem obnovení systému. V takových případech odborníci nedoporučují asistovat hackerům, ale přesto se tvůrcům "Petya" podařilo vydělat více než 10 000 dolarů za 2 dny po masivním kybernetickém útoku. Odborníci si však jsou jisti, že vydírání nebylo jejich hlavním úkolem, protože tento mechanismus byl na rozdíl od jiných mechanismů viru špatně promyšlený. Z toho lze usuzovat, že účelem viru Petya bylo destabilizovat práci globálních podniků. Je také docela možné, že hackeři byli jen uspěchaní a špatně si promysleli část získání peněz.

    Obnova PC po viru Petya

    Bohužel, jakmile je Péťa zcela infikován, data v počítači nelze obnovit. Existuje však způsob, jak odemknout počítač po viru Petya, pokud šifrátor neměl čas na úplné zašifrování dat. To bylo zveřejněno na oficiálních stránkách kybernetické policie 2. července.

    Existují tři typy infekce Petya virus

    - všechny informace na PC jsou zcela zašifrovány, na obrazovce se zobrazí okno s vymáháním peněz;
    - PC data jsou částečně šifrována. Proces šifrování byl přerušen vnější faktory(vč. jídla);
    - Počítač je infikován, ale proces šifrování tabulky MFT nebyl spuštěn.

    V prvním případě je všechno špatné - systém nelze obnovit. Prozatím.
    V posledních dvou možnostech je situace opravitelná.
    Chcete-li obnovit data, která byla částečně zašifrována, doporučujeme načíst instalační disk Windows:

    Li HDD nebyl poškozen virem ransomware, zaváděcí OS uvidí soubory a spustí obnovu MBR:

    Pro každého Verze Windows tento proces má své vlastní nuance.

    Windows XP

    Po načtení instalačního disku se na obrazovce zobrazí okno „Nastavení systému Windows XP Professional“, kde je třeba vybrat „pro obnovení systému Windows XP pomocí konzoly pro obnovení stiskněte R“. Po stisknutí klávesy R se konzola pro obnovení začne načítat.

    Pokud mají zařízení nainstalovaný jeden operační systém a ten je umístěn na jednotce C, zobrazí se upozornění:
    "1: C:\WINDOWS který kopii Windows měl by být použit k přihlášení? V souladu s tím je nutné stisknout klávesu "1" a "Enter".
    Poté se objeví: "Zadejte heslo správce". Zadejte heslo a stiskněte "Enter" (pokud heslo neexistuje, stiskněte "Enter").
    Měla by se objevit systémová výzva: C:\WINDOWS> , zadejte fixmbr.

    Poté se objeví „VAROVÁNÍ“.
    Pro potvrzení nový rekord MBR, musíte stisknout "y".
    Poté se objeví upozornění „Nová hlavní spouštěcí záznam na fyzický disk\Zařízení\Harddisk0\Oddíl0."
    A: "Nový hlavní spouštěcí záznam byl úspěšně vytvořen."

    Windows Vista:

    Zde je situace jednodušší. Spusťte OS, vyberte jazyk a rozložení klávesnice. Poté se na obrazovce objeví „Opravit počítač.“ Zobrazí se nabídka, ve které musíte vybrat „Další“. Zobrazí se okno s parametry obnoveného systému, kde je třeba kliknout na příkazový řádek, ve kterém je třeba zadat bootrec /FixMbr.
    Poté musíte počkat na dokončení procesu, pokud vše proběhlo v pořádku, zobrazí se potvrzovací zpráva - stiskněte "Enter" a počítač se začne restartovat. Všechno.

    Windows 7:

    Proces obnovy je podobný jako u Vista. Po výběru jazyka a rozložení klávesnice vyberte operační systém a klikněte na „Další“. V novém okně vyberte položku „Použít nástroje pro obnovu, které mohou pomoci vyřešit problémy se spuštěním Windows“.
    Všechny ostatní akce jsou podobné jako u Vista.

    Windows 8 a 10:

    Spusťte OS, v zobrazeném okně vyberte Opravit počítač>odstraňování problémů, kde kliknutím na příkazový řádek zadejte bootrec /FixMbr. Po dokončení procesu stiskněte „Enter“ a restartujte zařízení.

    Po procesu Obnova MBR, úspěšně dokončeno (bez ohledu na verzi Windows), je třeba disk prohledat antivirem.
    V případě, že byl proces šifrování zahájen virem, můžete použít software pro obnovu souborů, jako je Rstudio. Po jejich zkopírování do vyměnitelné médium, musíte přeinstalovat systém.
    V případě, že používáte programy pro obnovu dat zapsané do spouštěcího sektoru, jako je Acronis pravdivý obraz, pak si můžete být jisti, že "Petya" tento sektor neovlivnil. A to znamená, že můžete vrátit systém do funkčního stavu bez přeinstalace.

    Pokud najdete chybu, zvýrazněte část textu a klikněte Ctrl+Enter.

    Antivirové programy, a to i při detekci a odstranění škodlivého softwaru, ne vždy obnoví plnou funkčnost systému. Často po odstranění viru získá uživatel počítače prázdnou plochu, úplný nedostatek přístupu k internetu (nebo blokování přístupu na některé stránky), nefunkční myš atd. To je obvykle způsobeno tím, že některá systémová nebo uživatelská nastavení změněná malwarem zůstala nedotčena.

    Nástroj je zdarma, funguje bez instalace, je překvapivě funkční a pomohl mi v různých situacích. Virus zpravidla provádí změny v systémovém registru (přidává jej do spouštění, upravuje parametry spouštění programu atd.). Abyste se neponořili do systému a ručně opravovali stopy viru, měli byste použít operaci „obnovení systému“, která je k dispozici v AVZ (ačkoli je tento nástroj velmi, velmi dobrý jako antivirus, je dokonce dobré pomocí tohoto nástroje zkontrolovat disky na přítomnost virů).

    Chcete-li spustit obnovu, spusťte nástroj. Poté klikněte na Soubor - Obnovení systému

    a takové okno se před námi otevře

    zaškrtněte políčka, která potřebujeme, a klikněte na „Provést označené operace“

    1. Obnovte soubory launch options.exe, .com, .pif
    Tento firmware obnovuje odezvu systému na .exe soubory, com, pif, scr.
    Indikace k použití: po odstranění viru se programy zastaví.
    2. Obnovte nastavení předpony protokolu Internet Explorer na standardní
    Tento firmware obnovuje nastavení předpon protokolu v aplikaci Internet Explorer
    Indikace k použití: když zadáte adresu jako www.yandex.ru, bude nahrazena něčím jako www.seque.com/abcd.php?url=www.yandex.ru
    3.Obnova úvodní stránka internet Explorer
    Tento firmware obnoví úvodní stránku v Internet Exploreru
    Indikace k použití: změna úvodní stránky
    4. Obnovte výchozí nastavení vyhledávání v aplikaci Internet Explorer
    Tento firmware obnoví nastavení vyhledávání v aplikaci Internet Explorer
    Indikace k použití: Když v IE kliknete na tlačítko "Hledat", dojde k volání na nějakou cizí stránku
    5.Obnovte nastavení plochy
    Tento firmware obnoví nastavení plochy. Obnova zahrnuje odstranění všech aktivních prvků ActiveDesctop, tapet, odstranění zámků v nabídce odpovědné za nastavení plochy.
    Indikace k použití: Karty nastavení plochy v okně „Vlastnosti zobrazení“ zmizely, na ploše se zobrazují cizí nápisy nebo kresby
    6.Odstranění všech zásad (omezení) aktuálního uživatele
    Systém Windows poskytuje mechanismus omezení uživatelských akcí nazvaný Zásady. Tuto technologii používá mnoho malwaru, protože nastavení jsou uložena v registru a lze je snadno vytvořit nebo upravit.
    Indikace k použití: Funkce Průzkumníka souborů nebo jiné systémové funkce jsou blokovány.
    7. Odstranění zprávy zobrazené během WinLogon
    Windows NT a následné systémy v řadě NT (2000, XP) umožňují nastavit hlášení zobrazované při spouštění. Toho využívá řada škodlivých programů a ničení malware nezpůsobí zničení zprávy.
    Indikace k použití: Během spouštění systému se zobrazí nadbytečná zpráva.
    8.Obnovte nastavení průzkumníka
    Tento firmware resetuje řadu nastavení Průzkumníka souborů na výchozí nastavení (nastavení změněná malwarem jsou resetována jako první).
    Indikace k použití: Nastavení průzkumníka změněno
    9.Odstranění debuggerů systémových procesů
    Registrace debuggeru systémových procesů umožní neviditelné spuštění aplikace, což využívá řada škodlivých programů.
    Indikace k použití: AVZ detekuje nerozpoznané debuggery systémových procesů, problémy se spouštěním systémové komponenty, zejména plocha zmizí po restartu.
    10. Obnovte nastavení spouštění v nouzovém režimu
    Některý malware, jako je například červ Bagle, poškozuje nastavení spouštění systému v chráněném režimu. Tento firmware obnoví nastavení spouštění v chráněném režimu.
    Indikace k použití: Počítač se nespustí v nouzovém režimu (SafeMode). Tento firmware je nutné použít pouze v případě problémů se spouštěním v chráněném režimu .
    11. Odemkněte Správce úloh
    Blokování Správce úloh používá malware k ochraně procesů před detekcí a odstraněním. Proto provedení tohoto mikroprogramu odstraní zámek.
    Indikace k použití: Správce úloh zablokován, když se pokusíte dovolat správce úloh, zobrazí se zpráva „Správce úloh byl zablokován správcem“.
    12. Vymazání seznamu ignorovaných HijackThis

    Nástroj HijackThis ukládá do registru řadu svých nastavení, zejména seznam výjimek. Proto, aby se malware zamaskoval před HijackThis, musí pouze zaregistrovat svůj spustitelné soubory v seznamu vyloučení. V současné době je známo, že tuto chybu zabezpečení využívá řada škodlivých programů. Firmware AVZ vyčistí seznam vyloučení nástroje HijackThis

    Indikace k použití: Podezření, že nástroj HijackThis nezobrazuje všechny informace o systému.
    13. Čištění soubor hostitelů
    Čištění souboru Hosts spočívá v nalezení souboru Hosts, odstranění všech významných řádků z něj a přidání standardního řádku „127.0.0.1 localhost“.
    Indikace k použití: Podezření, že soubor Hosts byl změněn malwarem. Typickými příznaky jsou blokování aktualizací antivirového softwaru. Obsah souboru Hosts můžete ovládat pomocí správce souborů Hosts zabudovaného do AVZ.
    14. Automatická oprava nastavení SPl/LSP

    Provádí analýzu nastavení SPI a pokud jsou nalezeny chyby, automaticky je opravuje. Tento firmware lze znovu spustit neomezeně mnohokrát. Po spuštění tohoto firmwaru se doporučuje restartovat počítač. Poznámka! Tento firmware nelze spustit z terminálové relace

    Indikace k použití: Po odstranění malwaru byl ztracen přístup k internetu.
    15. Obnovení nastavení SPI/LSP a TCP/IP (XP+)

    Tento firmware funguje pouze na XP, Windows 2003 a Vista. Jeho princip fungování je založen na resetování a opětovném vytvoření nastavení SPI / LSP a TCP / IP pomocí standardní utilita netsh součástí Windows.Poznámka! Obnovení továrního nastavení byste měli použít pouze v případě potřeby, pokud máte po odstranění malwaru neodstranitelné problémy s přístupem k internetu!

    Indikace k použití: Po odstranění škodlivého programu, přístupu k internetu a spuštění firmwaru „14. Automatická oprava nastavení SPl/LSP“ nefunguje.
    16. Obnovení spouštěcího klíče Průzkumníka
    Obnoví klíče systémového registru zodpovědné za spuštění Průzkumníka souborů.
    Indikace k použití: Průzkumník se nespustí během spouštění systému, ale je možné spustit explorer.exe ručně.
    17. Odemkněte Editor registru
    Odemkne Editor registru odebráním zásady, která brání jeho spuštění.
    Indikace k použití: Nelze spustit Editor registru, při pokusu se zobrazí zpráva, že jeho spuštění bylo zablokováno správcem.
    18. Kompletní přestavba Nastavení SPI
    Vystupuje záloha nastavení SPI / LSP, po kterém je zničí a vytvoří podle standardu, který je uložen v databázi.
    Indikace k použití: Vážné poškození nastavení SPI, neopravitelné skripty 14 a 15. Aplikujte pouze v případě potřeby!
    19. Vyčistěte základní MountPoints
    Vyčistí databázi MountPoints a MountPoints2 v registru. Tato operace často pomáhá v případě, kdy po napadení Flash virem nelze otevřít disky v Průzkumníku
    Chcete-li provést obnovu, musíte vybrat jednu nebo více položek a kliknout na tlačítko "Provést označené operace". Klepnutím na tlačítko OK okno zavřete.
    Poznámka:
    Obnova je k ničemu, pokud je v systému spuštěn trojský kůň, který provádí takové změny konfigurace – nejprve musíte odstranit škodlivý program a poté obnovit nastavení systému
    Poznámka:
    Chcete-li odstranit stopy většiny únosců, musíte spustit tři firmware – „Obnovit nastavení vyhledávání Internet Exploreru na standardní“, „Obnovit úvodní stránku Internet Exploreru“, „Obnovit nastavení předpon protokolu Internet Explorer na standardní“
    Poznámka:

    Jakýkoli firmware lze spustit několikrát za sebou bez poškození systému. Výjimky jsou "5. Obnovení nastavení plochy" (operace tohoto firmwaru resetuje všechna nastavení plochy a budete muset znovu vybrat barvu a tapetu plochy) a "10. Obnovení nastavení spouštění v nouzovém režimu“ (tento firmware znovu vytvoří klíče registru odpovědné za spouštění v nouzovém režimu).

    Vynikající program pro odstranění virů a obnovu systému je AVZ (Zaitsev's Antivirus). AVZ si můžete stáhnout kliknutím na oranžové tlačítko po vygenerování odkazů.A pokud virus blokuje stahování, zkuste stáhnout celou antivirovou sadu!

    Hlavní funkce AVZ jsou detekce a odstranění virů.

    Antivirový nástroj AVZ je navržen tak, aby detekoval a odstranil:

    • SpyWare a AdWare moduly – to je hlavní účel nástroje
    • Dialer (Trojan.Dialer)
    • trojské koně
    • Moduly BackDoor
    • Síťoví a poštovní červi
    • TrojanSpy, TrojanDownloader, TrojanDropper

    Nástroj je přímou obdobou programů TrojanHunter a LavaSoft Ad-aware 6. Primárním úkolem programu je odstranění spywaru A trojské koně.

    Funkce Utility AVZ(kromě typického skeneru podpisů) je:

    • Heuristická kontrola firmwaru systému. Firmware vyhledává známý SpyWare a viry nepřímými znaky – na základě analýzy registru, souborů na disku a v paměti.
    • Aktualizovaná databáze bezpečných souborů. Zahrnuje digitální podpisy desítek tisíc systémových souborů a souborů známých bezpečných procesů. Databáze je propojena se všemi systémy AVZ a funguje na principu "přítel/nepřítel" - bezpečné soubory nejsou v karanténě, je pro ně blokováno mazání a varování, databázi využívá anti-rootkit, systém pro vyhledávání souborů a různé analyzátory. Zejména vestavěný správce procesů barevně zvýrazňuje bezpečné procesy a služby, vyhledávání souborů na disku dokáže vyloučit známé soubory z vyhledávání (což je velmi užitečné při hledání trojských koní na disku);
    • Vestavěný systém detekce rootkitů. Hledání RootKit jde bez použití podpisů na základě studia základní systémové knihovny za účelem zachycení jejich funkcí. AVZ dokáže nejen detekovat RootKit, ale také správně blokovat činnost UserMode RootKit pro jeho proces a KernelMode RootKit na systémové úrovni. Opozice RootKit se vztahuje na všechno servisní funkce AVZ, v důsledku toho může skener AVZ detekovat maskované procesy, systém vyhledávání registru "vidí" maskované klíče atd. Anti-rootkit je vybaven analyzátorem, který detekuje procesy a služby maskované RootKit. Jedním z hlavních rysů protiakčního systému RootKit je podle mého názoru jeho funkčnost ve Win9X (rozšířený názor na absenci RootKit běžícího na platformě Win9X je hluboce mylný – je známo, že stovky trojských koní zachycují funkce API, aby maskovaly svou přítomnost, zkreslovaly Práce s API funkce nebo sledování jejich využití). Další funkcí je univerzální systém detekce a blokování KernelMode RootKit, který funguje pod Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1.
    • Keylogger a Trojan DLL detektor. Vyhledávání Keylogger a Trojan DLL je založeno na analýze systému bez použití databáze signatur, což umožňuje spolehlivě detekovat dříve neznámé trojské DLL a Keylogger;
    • Neuroanalyzátor. Kromě analyzátoru signatur obsahuje AVZ neuroemulátor, který umožňuje analyzovat podezřelé soubory pomocí neuronové sítě. V současnosti se neuronová síť používá v detektoru keyloggeru.
    • Vestavěný analyzátor nastavení Winsock SPI/LSP. Umožňuje analyzovat nastavení, diagnostikovat možné chyby v nastavení a proveďte automatické ošetření. Možnost automatické diagnostiky a léčby je užitečná pro začínající uživatele (v utilitách jako LSPFix není automatická léčba). Pro ruční studium SPI/LSP má program speciální správce nastavení LSP/SPI. Činnost analyzátoru Winsock SPI/LSP je ovlivněna anti-rootkitem;
    • Vestavěný manažer procesů, služeb a ovladačů. Navrženo k prozkoumání běžící procesy a načtené knihovny, spuštěné služby a ovladače. Činnost správce procesů je ovlivněna anti-rootkitem (ve výsledku „vidí“ procesy maskované rootkitem). Správce procesů je propojen s databází bezpečných souborů AVZ, rozpoznané bezpečné a systémové soubory jsou barevně zvýrazněny;
    • Vestavěný nástroj pro vyhledávání souborů na disku. Umožňuje vyhledávat soubor podle různých kritérií, možnosti vyhledávacího systému jsou lepší než možnosti systémového vyhledávání. Činnost vyhledávacího systému je ovlivněna anti-rootkitem (ve výsledku vyhledávání „vidí“ soubory maskované rootkitem a může je smazat), filtr umožňuje vyloučit z výsledků vyhledávání soubory označené AVZ jako bezpečné. Výsledky vyhledávání jsou k dispozici jako textový protokol a v tabulková forma, ve kterém můžete označit skupinu souborů pro pozdější smazání nebo karanténu
    • Vestavěný nástroj pro vyhledávání dat v registru. Umožňuje vyhledávat klíče a parametry podle daného vzoru, výsledky vyhledávání jsou k dispozici ve formě textového protokolu a ve formě tabulky, ve které lze označit více klíčů pro export nebo smazání. Činnost vyhledávacího systému je ovlivněna anti-rootkitem (v důsledku toho vyhledávání „vidí“ klíče registru maskované rootkitem a může je smazat)
    • Vestavěný analyzátor otevřených TCP/UDP portů. Je ovlivněn anti-rootkitem, ve Windows XP se pro každý port zobrazuje proces využívající port. Analyzátor se spoléhá na aktualizovanou databázi známých portů trojských koní/zadních vrátek a známých systémových služeb. Hledání portů trojských koní je součástí hlavního algoritmu kontroly systému – když jsou detekovány podezřelé porty, v protokolu se zobrazí varování, která označují, které trojské koně mají tendenci tento port používat
    • Vestavěný analyzátor společné zdroje, síťové relace a soubory otevřené přes síť. Funguje ve Win9X a Nt/W2K/XP.
    • Vestavěný analyzátor Staženo Programové soubory(DPF) - zobrazuje prvky DPF, připojené ke všem systémům AVZ.
    • Firmware pro obnovu systému. Firmware provádí obnovení Nastavení internetu Průzkumník, možnosti spouštění programu a další systémové parametry poškozen malwarem. Obnova se spouští ručně, parametry, které se mají obnovit, zadává uživatel.
    • Heuristické mazání souboru. Jeho podstata spočívá v tom, že pokud byly během léčby odstraněny škodlivé soubory a tato možnost je povolena, pak se provede automatické prozkoumání systému zahrnující třídy, rozšíření BHO, IE a Explorer, všechny typy autorun dostupné pro AVZ, Winlogon, SPI / LSP atd. Všechny nalezené odkazy na smazaný soubor se automaticky vymažou a do protokolu se zanesou informace o tom, co přesně bylo vymazáno a kde. K tomuto čištění se aktivně používá motor mikroprogramu ošetření systému;
    • Kontrola archivů. Počínaje verzí 3.60 AVZ podporuje skenování archivů a složených souborů. V současné době probíhá kontrola archivů. ZIP formát, RAR, CAB, GZIP, TAR; e-maily a soubory MHT; archivy CHM
    • Kontrola a ošetření streamů NTFS. Kontrola streamů NTFS je součástí AVZ od verze 3.75
    • Ovládací skripty. Umožňuje správci napsat skript, který provede sadu zadaných operací na počítači uživatele. Skripty vám umožňují používat AVZ v firemní síť, včetně jeho spouštění při startu systému.
    • Procesní analyzátor. Analyzátor využívá neuronové sítě a analytický firmware, je povolen, když je povolena pokročilá analýza na maximální heuristické úrovni a je určen k vyhledávání podezřelých procesů v paměti.
    • Systém AVZGuard. Navržený pro boj proti těžko odstranitelnému malwaru, kromě AVZ, může chránit uživatelem specifikované aplikace, jako jsou jiné antispywarové a antivirové programy.
    • Systém přímý přístup na disk pracovat se zamčenými soubory. Pracuje na FAT16/FAT32/NTFS, je podporován na všech operačních systémech řady NT, umožňuje skeneru analyzovat zamčené soubory a umístit je do karantény.
    • Ovladač pro monitorování procesu AVZPM a řidiče. Navrženo pro sledování spouštění a zastavování procesů a načítání/vyjímání ovladačů pro vyhledávání maskovacích ovladačů a zjišťování zkreslení ve strukturách popisujících procesy a ovladače vytvořené rootkity DKOM.
    • Ovladač boot Cleaner. Navrženo k vyčištění systému (odstranění souborů, ovladačů a služeb, klíčů registru) z režimu KernelMode. Čištění lze provést jak v procesu restartování počítače, tak během ošetření.

    Obnovení nastavení systému.

    • Oprava spuštění options.exe .com .pif
    • Obnovte nastavení IE
    • Obnovení nastavení plochy
    • Odstranění všech uživatelských omezení
    • Odstranění zprávy ve Winlogon
    • Obnovení nastavení Průzkumníka souborů
    • Odstranění ladicích programů systémových procesů
    • Obnovení nastavení spouštění v nouzovém režimu
    • Odemkněte Správce úloh
    • Čištění hostitelského souboru
    • Oprava nastavení SPI/LSP
    • Obnovte nastavení SPI/LSP a TCP/IP
    • Odemknutí Editoru registru
    • Vymazání klíčů MountPoints
    • Výměna serverů DNS
    • Odebrání nastavení proxy serveru IE/EDGE
    • Odstraňování omezení Google


    Nástroje programu:

    • Správce procesů
    • Správce služeb a ovladačů
    • Moduly prostoru jádra
    • Interní správce DLL
    • Vyhledávání v registru
    • Vyhledávání souborů
    • Hledat podle cookie
    • Startup manager
    • Správce rozšíření prohlížeče
    • Správce apletů ovládacího panelu (cpl)
    • Správce rozšíření Průzkumníka souborů
    • Správce rozšíření tisku
    • Správce plánovače úloh
    • Správce protokolů a handlerů
    • Správce DPF
    • Aktivní správce nastavení
    • Winsock SPI Manager
    • Správce hostitelských souborů
    • Správce portů TCP/UDP
    • Generální ředitel síťové zdroje a síťová připojení
    • Sada systémových utilit
    • Kontrola souboru proti databázi bezpečných souborů
    • Kontrola souboru podle katalogu zabezpečení společnosti Microsoft
    • Výpočet součtů MD5 souborů

    Zde je taková poměrně velká sada na záchranu vašeho počítače před různými infekcemi!

    Můj nejlepší přítel Přivedl mě k netbooku, na kterém se viry vážně procházely, a požádal mě, abych pomohl vyčistit systém ze zoo. Poprvé jsem na vlastní oči viděl legrační odvětví ve vývoji malwaru: „ransomware“. Takové programy blokují některé funkce operačního systému a vyžadují, abyste odeslali SMS zprávu, abyste obdrželi odblokovací kód. Léčba se ukázala jako ne úplně triviální a já si říkal, že tenhle příběh snad někomu ušetří nervové buňky. Snažil jsem se poskytnout odkazy na všechny stránky a nástroje, které byly během léčby potřeba.

    V tento případ, virus vystupoval jako antivirus Internetový program Zabezpečení a požadované odeslání SMS K207815200 na číslo 4460. Na webu společnosti Kaspersky Lab existuje stránka, která umožňuje generovat kódy odpovědí na ransomware: support.kaspersky.ru/viruses/deblocker

    Po zavedení kódu však zůstaly funkce operačního systému zablokovány a spuštění jakéhokoli antivirového programu vedlo k okamžitému otevření virového okna, které pilně emulovalo činnost antiviru:

    Pokusy o zavedení bezpečné režimy vedlo k naprosto stejnému výsledku. Věc se komplikovala i tím, že hesla na všechno Účty správci byly prázdné a síťové přihlášení pro správce s prázdným heslem je ve výchozím nastavení podle zásad zakázáno.
    Musel jsem stahovat z USB Flash disk (netbook podle definice nemá diskovou jednotku). Nejjednodušší způsob, jak vytvořit spouštěcí jednotku USB, je:
    1. Naformátujte disk na NTFS
    2. Aktivujte oddíl (diskpart -> vyberte disk x -> vyberte oddíl x -> aktivní)
    3. Použijte nástroj \boot\bootsect.exe z distribuce Vista/Windows 2008/Windows 7: bootsect /nt60 X: /mbr
    4. Zkopírujte všechny distribuční soubory (měl jsem Windows distribuce 2008) na USB disk. Všechno se dá načíst.

    Vzhledem k tomu, že nepotřebujeme instalovat OS, ale ošetřujeme viry, zkopírujeme sadu bezplatných léčeb (AVZ, CureIt) a pomocných utilit (výhledově jsem potřeboval Streams od Marka Russinoviče) a Daleko na disk. Restartujeme netbook, nastavíme BIOS na bootování z USB.

    Instalační program Windows 2008 je načten, souhlasíme s výběrem jazyka, Instalovat nyní a poté stiskněte Shift + F10. Objeví se okno příkazový řádek ze kterého můžeme spustit náš antivirová činidla a vyhledejte infekci na systémové jednotce. Zde jsem narazil na obtíž, CureIt vypustil systém na modrou obrazovku smrti s nadávkami na chybu práce s NTFS a AVZ, ač to šlo, nemohl nic najít. Virus je zřejmě velmi, velmi čerstvý. Jediným vodítkem je zpráva AVZ, že spustitelný kód byl nalezen v dalším streamu NTSF pro jeden ze souborů v adresář Windows. To se mi zdálo divné a podezřelé, protože další streamy NTFS se používají ve velmi specifických případech a na normálních počítačích by se tam nemělo ukládat nic spustitelného.

    Musel jsem si tedy od Marka stáhnout nástroj Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) a tento stream smazat. Jeho velikost byla 126 464 bajtů, stejně jako soubory dll, které virus rozložil na flash disky vložené do systému.

    Poté jsem s pomocí Far prohledal celý systémový disk pro soubory stejné velikosti a našel dalších 5 nebo 6 podezřelých souborů vytvořených za poslední 2-3 dny. Byly odstraněny stejným způsobem. Poté byl CureIt schopen pracovat (zřejmě narazil na další vlákna) a úspěšně vyčistil další dva trojské koně :)

    Po restartu vše fungovalo, další běhy antivirové skenery nic nenašel. S pomocí AVZ byly obnoveny zásady, které omezovaly funkce OS. Přísný návrh byl učiněn příteli o tom, jak důležité je používat antiviry, zejména proto, že existuje mnoho bezplatných (

    Přečtěte si více: